还剩58页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
F5负载均衡器配置指导书V1F5负载均衡器配置指导书目录TOC\o1-3\h\z\u1F5负载均衡器简介
71.1负载均衡技术简介
71.2F5负载均衡产品介绍
71.3几个常用术语说明82BIG-IP配置步骤与规划准备工作
112.1BIG-IP配置步骤
112.2准备要点
112.3组网和IP地址规划
122.4BIG-IP接口编号说明133命令行进行Setup配置
143.1配置终端
143.2启动F
5143.3输入用户名口令
153.4设置终端类型
163.5Setup初始化配置
163.
5.1提示系统Li__nse不存在
163.
5.2设置键盘类型
173.
5.3设置root__
173.
5.4设置主机名
183.
5.5双机系统设置
193.
5.6设置接口速率和双工类型
213.
5.7配置VLAN和IP地址
213.
5.8添加接口到VLAN中
243.
5.9选择VLANIP地址与主机名关联
243.
5.10配置默认__
253.
5.11配置WEB访问
263.
5.12配置SSH访问
283.
5.13配置F5支持访问
293.
5.14设置时区
303.
5.15配置NTP支持
313.
5.16配置DNS代理转发
313.
5.17用户认证配置
313.
5.18Setup配置完成324激活Li__nse
334.1通过Web访问BIG-IP
334.2激活Li__nse步骤335系统时钟更改376WebConfigurationUtility进行配置
386.1进入配置工具
386.2配置VLAN和端口
396.3配置VLANIP地址
396.4配置负载均衡池
406.
4.1配置池名、成员IP地址和负载均衡策略
406.
4.2会话保持配置
416.5配置节点状态监控
426.
5.1自定义节点状态监控
436.
5.2监控与节点相关联
446.6配置虚拟服务器
456.
6.1创建虚拟服务器
456.
6.2虚拟服务器属性修改配置
466.
6.3检查系统状态
486.7配置SNAT
496.
7.1配置步骤
496.
7.2验证SNAT配置517双机配置
547.1注意事项
547.2初始化后配置步骤
557.3上行连接的监控设置558附录A常见问题说明
578.1BIG-IP单机或两台双机系统处于Standby状态,___?
578.2BIG-IP系统root__忘记了,如何恢复?
578.3默认的用户名和口令不安全,如何添加新用户或修改现有用户?
588.4BIG-IP系统如何进行配置备份和恢复?
598.5SSH访问具有__加密传输的优点,请问从哪里获取SSH客户端?
598.6网络设备通常有收集系统信息的宏命令,F5有没有相应命令?
608.7如何使用TCPDUMP进行Troubleshooting?
608.8如何实时监视BIG-IP的连接状态?62关键词Keywords负载均衡池、虚拟服务器,节点、会话保持、监控、ECV、E__、SNAT摘要Abstract按照常见的配置步骤,本文对F5BIG-IP负载均衡器设备配置进行说明,并对负载均衡器的基本概念和F5设备使用过程中遇到的常见问题进行解答缩略语清单Listofabbreviations.ECVExtendedContentVerification可扩展的内容验证E__ExtendedApplicationVerification可扩展的应用验证SNATsecurenetworkaddresstranslation安全网络地址转换1F5负载均衡器简介
1.1负载均衡技术简介随着业务与软件产品与IP网络关系愈加密切,业务平台提供的性能以及可靠性是__级应用的关键因素业务与软件产品中Portal、WAP__、彩铃和MMS等业务直接通过Internet提供网络服务由于Internet对业务服务访问具有不可预知性,传统的服务器提供大量并发服务已经面临处理能力和I/O性能的瓶颈,当业务超过已经界限将会出现“ServerTooBusy”乃至服务器宕机等问题针对单台服务器有限的性能存在瓶颈的情况,负载均衡器通过负载均衡机制将所有请求平均分配到多台节点服务器,使得系统业务处理能力大大提升此外,负载均衡器还能监控服务器节点的可用性,其中某一台服务器故障时,能将访问请求转移到其它可以正常工作的服务器负载均衡器通常称为四层交换机或七层交换机四层交换机主要分析IP层及TCP/UDP层,实现四层流量负载均衡七层交换机除了支持四层负载均衡以外,还有分析应用层的信息,如HTTP协议URI或Cookie信息
1.2F5负载均衡产品介绍目前F5负载均衡器有BIG-IP
1000、BIG-IP
2400、BIG-IP5000三个型号三个型号的配置如下BigIP1000BigIP2400BigIP5000(5100/5110)最大连接数400000040000004000000空间占用2U2U2U冗余电源支持支持支持网络接口1x1000BASE-SX8x10/100BASE-TX2x1000BASE-SX16x10/100BASE-TX4x1000BASE-SX24x10/100BASE-TXCPUPIII
1.0GHzx1PIII
1.26GHzx1PIII
1.26GHzx2MEMSTD/__X512M/2G512M/2G1G/2GStorage512MBCompactFlash512MBCompactFlash512MBCompactFlashSSL芯片1xSSLchip1xSSLchip2xSSLchip免费SSLhand-shakespersecond100TPS100TPS100TPS软件模块升级支持支持支持
1.3几个常用术语说明在使用F5BIG-IP负载均衡器时,大家经常对设备配置和维护觉得无从下手干着急为了让大家对BIG-IP负载均衡器有更深入的了解,本文对BIG-IP负载均衡器常用术语进行介绍负载均衡池(Pool)——负载均衡池是根据负载均衡策略接收数据流量的一组设备池与特定虚拟服务器相关联,流向虚拟服务器的流量通常会转给相关联的负载均衡池中的成员节点池可以执行负载均衡操作,比如发送流量到池中的指定节点或定义会话保持方式虚拟服务器(VirtualServer)——虚拟服务器是一个可PING的虚拟IP地址和服务端口的组合(比如
192.
168.
200.30:http),虚拟服务器与负载均衡池(Pool)相对应,负载均衡池由一或多个节点(Node)组成节点状态监控(Monitor)——节点状态监控用于检验负载均衡池中成员节点的连接和服务信息,包括节点健康监控和性能监控,当池中成员节点性能下降时BIG-IP系统将会把流量重定向到其它节点节点(Node)——节点是处理负载均衡器发送流量的设备,通常是业务服务器当服务器加入负载均衡池成为池成员时,服务器就称为节点会话保持Persisten__——会话保持就是指在负载均衡器可以识别做客户与服务器之间交互过程的关联性的机制在对会话实现负载均衡的同时,负载均衡器还确保一系列相关联的访问请求会保持分配到一台服务器上SNAT(安全网络地址转换,securenetworkaddresstranslation)——SNAT与跟Cisco/NetScreenPAT(端口地址转换)方式类似,多个节点共享同一IP地址实现对外部网络的访问ECV(可扩展的内容验证,ExtendedContentVerification)——ECV用于节点状态监控ECV监控通过发送和接收协议指令来获取节点服务内容信息,从而实现对节点的监控ECV监控服务包括HTTP、HTTPS和TCP,比如,ECV通过“GET/”操作来获取HTTP服务的主页面信息来验证节点服务的状态E__(可扩展的应用验证,ExtendedApplicationVerification)——E__用于节点状态监控E__监控通过运行服务检查程序来验证应用的状态E__监控服务包括FTP、POP
3、__TP、SQL、NNTP、I__P、LDAP和RADIUS,比如,E__通过指定用户名、口令和获取文件路径实现FTP监控VLANTag——在讲述VLANTag之前必须要了解IEEE
802.1QIEEE
802.1Q在以太网帧头部插入4个字节,其中12位表示VLANID接口配置为Untagged,接口发送帧时将
802.1Q头部去掉,还原为标准以太网帧,这样帧就可以被不支持
802.1Q的主机或交换机接收Untagged接口只能支持一个VLAN接口配置为Tagged,接口收发帧时包含
802.1Q头部Tagged接口支持多个VLAN,帧中Tag标识所属VLAN2BIG-IP配置步骤与规划准备工作
2.1BIG-IP配置步骤BIG-IP主要配置步骤如下
1.组网和IP地址/命名规划
2.命令行进行Setup初始化配置
3.激活Li__nse
4.更改系统时钟(可选)
5.配置网络VLAN和IP地址
6.配置负载均衡池
7.配置节点状态监控
8.配置虚拟服务器
9.配置SNAT
10.配置双机注本配置步骤为常见配置顺序,并非为唯一配置方式,比如Setup初始化配置也可以通过Web界面进行配置本文没有包括过滤和SSLProxy等配置主用BIG-IP系统要完成以上所有配置步骤,备用BIG-IP系统可以跳过5-9步,而通过主用BIG-IP系统将配置同步到备用BIG-IP系统中去
2.2准备要点在安__IG-IP系统之前,请检查如下准备工作是否做好设备物理连接规划IP地址规划,根据实际需要划分网段和分配IP地址,通常网络设备IP地址为网络中最大IP地址(默认__使用最大IP地址),往下递推;主机设备从网络中最小IP地址往上递推进行分配BIG-IP外部VLAN需要3个IP用于冗余BIG-IP配置每一个VIP(虚拟IP地址)或NAT需要一个外部VLANIPBIG-IP内部VLAN需要3个IP用于冗余BIG-IP配置BIG-IP内部每个节点需要一个内部VLANIP确定BIG-IP主机域名,并且确保BIG-IP双机主机名不一样
2.3组网和IP地址规划本文主要给出BIG-IP系统配置使用的指南,具体配置说明不一定跟本实例有关,本例目的主要对实际组网归档交付提供参考组网和IP地址规划举例如下图所示IP地址和物理端口分配如下表所示单元号主机名VLAN端口端口对端描述IP地址浮动IP地址1f5-
1.colorring.netexternal
1.1外部vlan交换机
172.
16.
96.26/
27172.
16.
96.28internal
1.
31.4服务器主网卡
172.
16.
96.92/
27172.
16.
96.94tagged
1.8级联备用F5- 2f5-
2.colorring.netexternal
1.1外部vlan交换机
172.
16.
96.26/
27172.
16.
96.28internal
1.
31.4服务器备网卡
172.
16.
96.92/
27172.
16.
96.94tagged
1.8级联主用F5- VIP
[1]与成员信息表如下VIP号VIPIP地址VIP端口成员池名成员节点IP地址成员节点端口映射方式
1172.
16.
96.180web_pool
172.
16.
96.6580SNAT
172.
16.
96.
662.4BIG-IP接口编号说明F5接口槽位号编号遵循由上到下,然后由左到右规则BIG-IP第一槽位为8端口快速以太网接口,2槽位为1端口千兆网接口,3槽位为管理接口具体编码如下图注因为BIG-IP的接口与VLAN分配相关,网线连接接口位置不能随意更改,否则可能导致网络无法连接3命令行进行Setup配置本文以BIG-IP1000为例讲解整个配置过程,基本上讲解了BIG-IP整个配置过程
3.1配置终端使用超级终端建立一个连接,通过Console电缆一端连接BIGIP,一端连接COM,COM的参数设置串口设置19200,8-N-1设置串口的终端仿真为VT100,如图
[2]basemem=636Kextmem=523264Ktotal524288KCheckingforACPIPMSUPPORT...NotpresentCheckingforAPMBIOS...APMV
1.2found.Copyrightc1996-2003F5NetworksInc.Allrightsreserved.
[3]BIG-IPKernel
4.5PTF-07Build18HardwareConfiguration:....
[4]CPU:PentiumIIICoppermine996MHzMemory:512MBCryptoPro__ssors:1xBCM5822NetworkInte_____s:
3.100:01:d7:21:c1:80exp0ether100BaseTX10BaseT
2.100:01:d7:21:c1:babsg2ether1000Mbps
1.1-
1.8bsether100BaseTX10BaseTOtherDevi__s:..Setupdefaultconfiguration...Defaultconfigurationcomplete.......IP
192.
168.
1.245configuredonvlanadminport
3.1
[5]default....***PRODUCTISUNLI__NSED***
[6]sodbigstpdbig3dbigdsfdslapdipfwrateclassratefiltntpdate
3.3输入用户名口令BIG-IP
4.5PTF-07defaultconsolelogin:输入用户“root”和默认__“default”,回车注基于CLI访问F5的默认用户名为“root”,口令为“default”基于HTTPS访问的默认用户名为“admin”,口令为“admin”在业务系统中务必更改默认用户名和口令
3.4设置终端类型Copyright199219931994199519961997BerkeleySoftwareDesignInc.Copyrightc19801983198619881990199119931994TheRegentsoftheUniversityofCalifornia.Allrightsreserved.[省略输出信息……]Terminaltype[vt100]缺省的终端类型为vt100,回车
3.5Setup初始化配置缺省的主机名字是default在提示符下面输入命令config,回车说明第一次运行config或setup命令将进入setup命令界面Setup工具可以实现逐步配置root__、BIG-IP主机名、接口和远程管理等default:~#config
3.
5.1提示系统Li__nse不存在第一次运行,提示系统Li__nse不存在信息按“n”键进入Li__nseAgreement窗口,按回车键继续,并选择YesIAgreeToThisLi__nse根据系统提示,继续执行配置步骤直至正式进入SetupUtility注意进入BIG-IPSetup工具模式后,无法退出和配置回滚,必须一步一步配完
3.
5.2设置键盘类型进入Setup界面后,第一步工作是设置键盘类型,默认使用US-Standard101key,回车
3.
5.3设置root__设置root__输入root__后,BIG-IP重新提示输入__如果前后输入__匹配,系统立即保存__如果__不一致,Setup工具提供错误消息并提示重新输入__注root__允许用户通过命令行访问BIG-IP系统建议root__长度大于6位,但不要超过32位字节__与大小写敏感,建议__中包含大写/小写字母和特殊字节(比如,!@#$%^*)如果BIG-IP系统为冗余系统,两台主备机的root__必须保持一致
3.
5.4设置主机名注主机名用来标识BIG-IP系统自身主机名必须符合DNS域名标准主机部分必须以字母开始,并至少为2个字符举例f5-
1.colorring.net警告BIG-IP双机系统的主机名必须不一样,否则配置无法同步警告必须通过Setup工具来更改主机名,不得直接编辑/etc/hosts或用hostname命令更改主机名,否则会导致系统不可访问
3.
5.5双机系统设置配置完主机名之后,BIG-IP系统进入接口配置模式,包括VLAN、IP地址和双机配置如果工程中配置F5双机系统unitID(通常为1或2)、fail-overIP地址和fail-over类型如果BIG-IP系统为双机,选择YesitisaredundantBIG-IPsystem,否则选择NoitisnotaredundantBIG-IPsystem若不选择为双机系统,则跳过下列步骤A.设置UnitID通常主用系统UnitID为1,备用系统UnitID为2B.设置FailoverIP通常为备用BIG-IP系统内部接口Self-IP地址本例中使用PortalVLAN的备用BIG-IP系统IP地址C.设置Fail-over类型本例中选择Hardwired,Fail-over通过双机系统连接Failover线缆来实现,请确保双机之间有Failover线缆我们还可以选择Network作为Fail-over类型,这时Failover心跳和同步方式将通过网络实现BIG-IP系统支持MDI/MDI-X自适应,BIG-IP系统之间接口既可以通过直连网线也可以通过交叉网线对接
3.
5.6设置接口速率和双工类型本例中一般采用auto默认值按“c”继续
3.
5.7配置VLAN和IP地址系统默认有3个VLAN admin、external和internal按“A”键添加新的VLAN,按“D”键删除一个VLAN,按“C”键继续下一步配置本例中删除默认adminvlanVLAN配置还包括PortLockdown配置、IP地址/掩码/广播和浮动IP地址/掩码/广播如果启用PortLockdown,将无法通过该VLAN访问BIG-IP系统,即无法通过HTTPS或SSH对BIG-IP进行配置管理通常建议对VLANexternal启用PortLockdown本文以external为例介绍VLAN配置A.VLANexternal启用PortLockdown B.配置VLANexternalIP地址/掩码/广播然后对internalVLAN进行配置,最终VLAN和IP地址配置如下
3.
5.8添加接口到VLAN中根据__前规划和设备物理连线,将接口添加到相应VLAN中本例中,接口
1.1添加到externalVLAN中,接口
1.3和
1.4添加到internalVLAN中此外,接口
1.8用于主备BIG-IP双机系统级连,目前先不加入vlanweb,将在WEB界面中进行配置
3.
5.9选择VLANIP地址与主机名关联分配接口到指定VLAN后,如果系统有多个定义VLAN我们必须指定一个VLANIP地址作为与系统主机名关联的主IP地址本例中,我们选择externalVLANIP地址作为主IP地址指定主IP地址后,系统将保存网络配置注如果双机系统另外一台已经完成配置,终端可能会出现如下告警Jan1019:13:15defaultkernel:duplicateIPaddress
172.
16.
96.28!!sentfromaddress:00:01:d7:21:ab:01解决方法将串口心跳线连好,重新启动另一台,或者将用bfailoverstandby命令另一台手动设成Standby
3.
5.10配置默认__如果BIG-IP系统没有定义指定网络路由,BIG-IP将把数据发到默认__池(gatewaypool)默认__池可以认为是默认路由的组合,通常默认__池由2个或多个__IP地址组成,第一个地址作为默认路由,其它__地址作为默认备用路由默认__池在系统激活后才能生效本例中只输入一个__地址,这时系统不会生成默认__池
3.
5.11配置WEB访问为了启用指定VLAN的WEB访问,必须在VLAN中指定域名配置完WEB管理接口后,系统提示输入WEB管理接口admin用户帐号口令F5默认帐号口令为admin配置完admin用户帐号口令后,系统提示输入允许WEB接口连接的IP地址本处采用系统默认允许所有IP地址随后系统提示输入国家(country)、省(state)、市(city)、公司(company)和部门(division),用于生成SSL证书BIG-IP双机这部分配置信息要一致最后保存WEB服务配置文件警告如果更改BIG-IP系统接口或主机名,必须重新配置BIG-IPWeb服务以反映新的配置只能通过Configuration工具添加用户或更改__,否则某些配置信息(如httpd.conf和openssl.conf)将会丢失
3.
5.12配置SSH访问本例中允许SSH访问由于SSH访问具有更高的安全性,建议对BIG-IP系统启用SSH访问,关闭Telnet访问本例采用默认配置,允许所有IP地址通过SSH访问回车后,系统保存配置
3.
5.13配置F5支持访问本例不启用F5支持访问,回车继续
3.
5.14设置时区F5采用BSDUnix时区设置,其中没有北京时区信息,可以就近选择如下时区Asia/Chungking(重庆)、Asia/Harbin(哈尔滨)、Asia/Hong_Kong(__)、Asia/__cao(澳门)、Asia/Shanghai(__)和Asia/Urumqi(____)
3.
5.15配置NTP支持本例中不启用NTP服务
3.
5.16配置DNS代理转发本例中不使用DNS代理转发
3.
5.17用户认证配置本例中不启用LDAP或RADIUS用户认证输入N,回车继续
3.
5.18Setup配置完成系统提示基本配置完成,按任何键退出4激活Li__nseF5BIG-IP系统必须激活Li__nse后才能正常使用完成第一次Setup配置后,接下来需要激活BIG-IPLi__nse
4.1通过Web访问BIG-IP启动Web浏览器,输入https://big-ip’sipaddress,回车浏览器显示安全证书警报,提示“是否继续”,__“是”按钮继续BIG-IP系统提示输入用户名和__输入用户名和__,__“确认”按钮确定进入BIG-IP系统主页面注BIG-IPWeb用户界面默认用户名和默认__为admin和admin
4.2激活Li__nse步骤
1、在ConfigurationUtility主页面中__“Li__nseUtility”链接,进入“Li__nseAdministration”页面
2、在“Li__nseAdministration”页面中,__“__nualAuthorization”按钮选择手动激动Li__nse方式
3、在“__nualAuthorization”页面,__“DownloadProductDossier”按钮下载产品文档“dossier.do”到指定位置
4、__“__nualAuthorization”页面__的“Li__nseServer”链接进入F5Li__nse服务器通常F5负载均衡器所处网络不能够直接上Internet,请将“dossier.do”拷贝到可以上Internet的计算机中,并在计算机浏览器上输入https://activate.f
5.com/F5/index.jsphttps://activate.f
5.com/F5/index.jsp进入F5Li__nse服务器
5、F5Li__nse服务器主页面中__“浏览…”按钮选择文件“dossier.do”,然后__“Activate”按钮
6、获取“bigip.li__nse”文件后拷贝到连接F5负载均衡器的Web浏览器客户端指定位置在“__nualAuthorization”页面,__“Continue”按钮进入“InstallLi__nse”页面
7、在“InstallLi__nse”页面中“浏览…”按钮选择文件“bigip.li__nse”,然后__“InstallLi__nse”按钮
8、__Li__nse文件后,Web页面提示Li__nse__状态,完成后提示__观看Li__nse条款,__“Li__nseTerms”继续在“Li__nseTerms”页面中__“Continue”按钮继续,系统显示“RebootPrompt”提示重启页面,__“RebootNow”重启BIG-IP系统至此,BIG-IP系统Li__nse激活工作完成注bigstartrestart命令可以手工重启BIG-IP服务进程5系统时钟更改如果BIG-IP系统时钟与实际时间不符,需要进行更改BIG-IP系统需要reboot进入单用户模式更改时间注意
1、对于临时Li__nse的设备,不要轻易改系统时间,后果是Li__nse失效
2、更改时间完后,务必退出单用户模式,以免破坏文件系统
3、由于修改系统时钟需要重启动两次,对于正在运行系统而言,要千万小心
4、对于在运行的冗余系统,建议先修改Standby,修改完毕,观察一段时间,再把Active设备切换为Standby后再修改,以保证系统的不间断
5、系统时钟主要用于F5日志文件的计时时间步骤
1、重启系统f5-1:~#reboot
3、在单用户模式中,然后输入命令dateyymmddhhmm.ss年年月月日日时时分分.秒秒修改时间例如要把时间修改为2004年1月15日101459可以输入date
0401151014.
594、输入时间完毕,然后输入reboot重新启动
5、重新启动后,输入命令date验证时间是否设备正确6WebConfigurationUtility进行配置
6.1进入配置工具通过HTTPS访问BIG-IP系统Web主页面如下__ConfigurationUtility链接进入配置工具,配置工具页面如下图
6.2配置VLAN和端口配置步骤
1、在配置工具Web页面的导航面板中选择“Network”中的“VLANs”标签,__“ADD”按钮打开“AddVLAN”窗口添加VLAN或者选择对现有VLAN进行更改
2、在“VLANName”中输入VLAN名字,如“internal”
3、在“Tag”中输入VLAN号,如果不填,系统将自动分配一个VLAN号
4、在“Resour__s”表格中,选中指定“Internfa__Number”,选择适当接口号后__“untagged”将端口添加到VLAN中如果对选定接口号__“tagged”,则该端口为Trunk端口
5、如果选中“PortLockdown”复选框,则不允许通过该VLAN进行管理如果没有选中,该VLAN可以进行访问管理
6、配置完毕后,__“Done”完成配置配置示意图如下图
6.3配置VLANIP地址配置步骤
1、在配置工具Web页面的导航面板中选择“Network”中的“SelfIPAddress”标签,__“ADD”按钮添加SelfIPAddress
2、在“IPAddress”中输入IP地址
3、在“Net__sk”中输入网络掩码
4、在“Broadcast”中输入广播IP地址(可选)
5、如果IP地址是BIG-IP双机的浮动IP地址,选中“Floating”复选框
6、在“VLAN”组合框中选择分配IP地址的VLAN名
7、配置完毕后,__“Done”完成配置
6.4配置负载均衡池负载均衡池是负载均衡器中重要的属性,是根据负载均衡策略接收数据流量的一组设备池与特定虚拟服务器相关联,流向虚拟服务器的流量通常会转给相关联的负载均衡池的成员节点池可以执行负载均衡操作,比如发送流量到池中的指定节点或定义会话保持方式当配置池时,必须配置池名、成员IP地址和负载均衡策略(BIG-IP系统默认策略为循环方式),根据BIG-IP系统在业务与软件产品线应用的特点经常还要配置会话保持方式
6.
4.1配置池名、成员IP地址和负载均衡策略配置步骤
1、在配置工具Web页面的导航面板中选择“Pools”中的“Pools”标签,__“ADD”按钮添加服务器池Pool
2、在池属性(PoolProperties)中的“LoadBalancingMethod”表格中选择负载均衡策略,通常采用默认策略“RoundRobin”
3、在“Resou__s”表格中的“MemberAddress”文本框输入成员IP地址,在“Servi__”文本框中输入服务端口,__“”添加到“CurrentMembers”当前成员列表中
4、添加所有组成员,__“Done”完成配置
6.
4.2会话保持配置配置步骤
1、在“Pools”中的“PoolName”列选中特定池,然后池属性页面中选择“Persisten__”标签
2、在“Persisten__Type”表格中选定会话保持类型业务与软件产品线常用会话保持类型如下______persisten__(简单保持)——简单保持支持TCP和UDP协议,它基于客户IP地址跟踪连接(简单保持是默认保持类型)HTTPcookiepersisten__——HTTPcookie保持使用HTTPcookie保存到客户计算机中,实现客户重新连接上次访问的同一台服务器SSLpersisten__——SSL保持使用SSL会话ID来跟踪SSL连接即使客户IP地址发生变化,BIG-IP系统根据会话ID仍旧能够识别连接
3、__“Apply”应用配置注1有些业务应用(如WAP__)的客户IP地址是一样的,这是如果使用简单会话保持方式,将无法实现负载均衡这时必须使用其它类型会话保持类型注2如果同个IP地址实现多应用保持(如HTTP和SSL),必须启用跨服务保持功能配置步骤如下a在导航面板中__“System”,打开“Network__p”页面b在“Network__p”页面中__“Advan__dProperties”标签,打开BIG-IPSystemControlVariables页面c__“AllowPersisten__AcrossAllPortsforEachVirtualAddress”复选框d__“Apply”按钮应用配置注3HTTPcookie保持有4种类型Insert模式——插入模式中客户端连接的服务器信息作为cookie插入到HTTP响应数据头部,这些信息包括处理连接的服务器IP地址和端口cookie的截止时间基于BIG-IP系统的超时设置建议采用此模式,不过需要注意,如果客户端的时间与BIG-IP系统时间差异超过超时设置,本会话保持模式将会失效Rewrite模式——重写模式需要在Web服务器中配置cookie,服务器响应客户端请求,BIG-IP系统解析报文并对cookie的名字和数值进行重写由于需要更改web服务器配置,不建议使用Passive模式——被动模式中,BIG-IP系统不插入或解析HTTP响应cookie信息本模式中,web服务器提供正确地格式和超时等cookie信息由于需要更改web服务器配置,不建议使用Hash模式——哈希模式根据web服务器生成的cookie由哈希算法映射为一致的哈希值本模式中web服务器必需生成cookie,BIG-IP系统不自动创建cookie注4会话保持验证可使用“tcpdump”工具进行验证,tcpdump使用参见附录说明
6.5配置节点状态监控节点状态监控(Monitor)用于检验负载均衡池中成员节点的连接和服务信息,包括健康监控和性能监控,当池中成员节点性能下降时BIG-IP系统将会把流量重定向到其它节点配置节点状态监控包括如下两项工作自定义节点状态监控监控与节点相关联其中自定义节点状态监控配置步骤是可选的,当使用默认监控模板时,此步骤可以跳过
6.
5.1自定义节点状态监控对于节点标准的服务,只需要使用BIG-IP系统提供默认监控模板即可,不需要进行自定义当监控信息需要对服务的内容或服务协议信息进行监控时,这时需要进行自定义节点状态监控配置步骤
1、在配置工具Web页面的导航面板中选择“Monitor”中的“Monitors”标签,__“ADD”按钮添加监控
2、在“AddMonitor”窗口配置监控名称和采用模板,在“Name”文本框输入监控名称,在“Inheritsfrom”下列框中选择合适的模板,比如HTTP或HTTPS等,__“Next”按钮
3、在“ConfigureBasicProperties”表格中使用默认属性,__“Next”按钮根据监控模板的不同对ECV或E__属性进行配置,比如对HTTPECV属性的“SendString”配置为“GET/user/index.html”
4、完成监控配置后,__“Done”完成配置注当默认监控方法无法实现检测服务器运行状态时,需要定制的监控例如,默认的域名方式使用“GET/”命令无法获取正确页面或页面经过多次重定向,这时BIG-IP系统无__确检测服务器状态,我们需要手工更改命令,比如“GET/user/index.html”,使HTTP检查方法可以检测出服务器的运行状态
6.
5.2监控与节点相关联我们必须将节点与监控关联起来才能实现对节点的监控,有三种关联方式节点关联——监控与节点的IP地址和服务相关联节点地址关联——监控仅与节点的IP地址相关联服务关联——监控仅与节点的服务相关联配置步骤
1、在配置工具Web页面的导航面板中选择“Monitor”中的“Monitors”标签,__“ADD”按钮添加监控
2、根据需要选择相关关联类型如果监控关联节点IP地址和服务端口,请选择“NodeAssociations”标签如果监控关联节点IP地址,请选择“NodeAddressAssociations”标签如果监控关联节点服务端口,请选择“Servi__Associations”标签
3、被选关联标签中,在“ChooseMonitor”表格中选择监控名称,__“”按钮添加到“MonitorRule”监控规格文本框中监控规则可以为一条或多条
4、选择监控规则后,在对应节点的“AssociateCurrentMonitorRule”复选框中选中如果欲删除监控关联,则选中对应节点的“DeleteExistingAssocation”复选框
5、__“Apply”关联监控
6.6配置虚拟服务器虚拟服务器(virtualserver)是一个可PING的虚拟IP地址和服务端口的组合(比如
192.
168.
200.30:http),虚拟服务器与负载均衡池(Pool)相对应,负载均衡池由一或多个节点(Node)组成虚拟服务器有许多类型,本文只讲述业务与软件产品使用的标准虚拟服务器配置
6.
6.1创建虚拟服务器配置步骤
1、在配置工具Web页面的导航面板中选择“VirtualServers”中的“VirtualServers”标签,__“ADD”按钮添加虚拟服务器
2、在“AddVirtualServer”窗口的“Address”文本框中输入虚拟服务器IP地址,并在“Servi__”文本框中输入服务端口号或在下拉框中选择现有的服务名称,__“Next”执行下一步
3、在“AddVirtualServer”窗口的“ConfigureBasicProperties”页面中__“Next”执行下一步
3、在“AddVirtualServer”窗口的“SelectPhysicalResour__s”页面中__单选按钮“Pool”,并在下拉框中选择虚拟服务器对应的负载均衡池
4、按“Done”完成创建虚拟服务器注意,在“SelectPhysicalResour__s”页面中请不要__“Next”进入“ConfigureOutboundProperties”页面进行配置
6.
6.2虚拟服务器属性修改配置虚拟服务器有一些属性可以根据现网实际需要进行修改,比较常见的属性包括VLAN禁用(DisabledVLANs)、对所有IP协议进行负载均衡和允许UDP连接在配置工具Web页面的导航面板中选择“VirtualServers”,并在“VirtualServers”的虚拟服务器列表中选中需要修改的虚拟服务器
(一)、VLAN禁用配置虚拟服务器必须属于特定VLAN中,如果没有指定VLAN,虚拟服务器默认属于所有VLAN中当我们需要对虚拟服务器进行VLAN隔离时,可以修改“VirtualServerProperties”页面的“DisabledVLANs”属性在“Existing”列表框中选中需要隔离的VLAN,__“”__按钮,将其移至“Disabled”列表中(“Existing”列表框中包含所有VLAN,即使这些VLAN已经移至“Disabled”列表)__“Apply”应用配置
(二)、对所有IP协议进行负载均衡BIG-IP系统默认除了TCP/UDP之外不对其它IP协议进行负载均衡如果需要启用此功能,请选中“VirtualAddressProperties”页面的“AnyIPTraffic”表格项的“Enable”复选框__“Apply”应用配置
(三)、允许UDP连接BIG-IP系统默认禁用UDP服务,如果VirtualServer要提供对UDP服务的访问(例如DNS)修改“VirtualServi__Properties”在“VirtualServi__Properties”页面中选中“UDPEnabled”复选框__“Apply”应用配置
6.
6.3检查系统状态配置完负载均衡池、节点监控和虚拟服务器后,我们可以通过“System-Network__p”页面查看系统状态,如下图当图标为绿色时表示节点或虚拟服务器为“UP”,当图标为红色则意味着节点或虚拟服务器状态为“Down”,如果图标为灰色说明节点或虚拟服务器被禁用当节点或虚拟服务器出现异常时,请查看“Monitors-MonitorLog”的记录
6.7配置SNAT跟路由器、防火墙一样,BIG-IP系统提供NATNetworkAddressTranslation和SNATSecureNetworkAddressTranslation地址转换机制,SNAT地址转换跟CiscoPAT方式类似如果不启用NAT/SNAT,负载均衡池内部节点将无法访问外部网络,即外部IP可以通过虚拟服务器IP访问负载均衡池节点,但负载均衡池内部节点不能发起对外连接NAT和SNAT都可以通过地址转换访问外部网络,不过SNAT不接受外部发起的连接一个SNAT地址可以对应一个节点地址、多个节点地址或一个VL___段NAT地址与节点地址是一对一的关系本文仅给出业务与软件常用的SNAT配置步骤注SNAT地址可以不是唯一的,比如,SNAT地址可以使用虚拟服务器的IP地址
6.
7.1配置步骤
1、在配置工具Web页面的导航面板中选择“NATs”中的“SNATs”标签,__“ADD”按钮添加SNAT地址
2、在“AddSNAT”窗口中“TranslationAddress”的“IP”文本框中输入SNATIP地址,并在“OriginList”的“OriginAddress”文本框中输入节点IP地址或在“OriginVLAN”下拉框中选择VLAN名称,__“”加入“CurrentList”列表
3、按“Done”完成添加SNATIP地址
4、通常我们希望内部节点可以Ping到外部网络,这时我们需要启用“snatsany_ip”在配置工具Web页面的导航面板中选择“System”中的“Advan__dProperties”标签,选中“snatsany_ip”复选框说明如果需要添加外部单独访问内部特定节点IP由于NAT和SNAT不能共存,可以针对特定节点创建单个节点组成的负载均衡池Pool,服务为“0”,然后创建虚拟服务器VIP,服务也为“0”,将VIP和Pool关联起来,这时候这个VIP就是那台要访问的服务器
6.
7.2验证SNAT配置在检查SNAT配置正确性之前,必须确保BIG-IP系统__已经配置完毕请在CLI界面用“netstat–nr”命令确定__信息已经配置完毕f5test1:~#netstat-nrRoutingtablesInternet:DestinationGatewayFlagsMTUIfdefault
10.
77.
88.254UGS1500vlan
110.
76.
160.
13510.
77.
88.254UGHc1500vlan
110.
77.
88.192/26link#7UC1500vlan
110.
77.
88.
2500.e
0.fc.
5.
36.78UHLc1500vlan
110.
77.
88.
2540.e
0.fc.
2.5d.f2UHLc1500vlan
1127127.
0.
0.1UGRS4352lo
0127.
0.
0.
1127.
0.
0.1UH4352lo
0192.
168.1link#6UC1500vlan
0192.
168.129link#8UC1500vlan
2192.
168.
129.12link#8UHLc1500vlan
2192.
168.
129.13link#8UHLc1500vlan
2192.
168.
129.
160.e
0.
81.
3.
45.27UHLc1500lo0f5test1:~#如果没有发现“default”路由,则需要配置DefaultGateway
1、请在在CLI运行“config”命令进行配置,按“E”选中“ESetdefaultgateways”,回车
2、对CLI给出的警告信息,__“Y”
3、在“CONFIGUREDEFAULTGATEWAY”页面中输入__IP地址,回车
4、__配置更改需要进行重启才能生效,请推出config配置,在CLI输入“reboot”重启BIG-IP系统在BIG-IP系统CLI界面中用TCPDUMP验证SNAT配置举例,在内部节点(IP:
192.
168.
129.12)中Ping外部IP地址
10.
77.
220.82,BIG-IP的InternalVLANIP为
192.
168.
129.16(对应SNAT地址为
10.
77.
88.213),测试显示如下f5test1:~#tcpdump-iexternalhost
10.
77.
88.213andicmptcpdump:listeningonexternal11:04:
55.
08557610.
77.
88.
21310.
77.
220.82:icmp:echorequest11:04:
55.
08780310.
77.
220.
8210.
77.
88.213:icmp:echoreply11:04:
55.
09955010.
77.
88.
21310.
77.
220.82:icmp:echorequest11:04:
55.
10279710.
77.
220.
8210.
77.
88.213:icmp:echoreplyf5test1:~#tcpdump-iinternalhost
192.
168.
129.12andicmptcpdump:listeningoninternal11:06:
02.
859518192.
168.
129.
1210.
77.
220.82:icmp:echorequest11:06:
02.
86178810.
77.
220.
82192.
168.
129.12:icmp:echoreply11:06:
02.
865022192.
168.
129.
1210.
77.
220.82:icmp:echorequest11:06:
02.
86676810.
77.
220.
82192.
168.
129.12:icmp:echoreply7双机配置在业务与软件产品中使用BIG-IP系统一般都会配置双机在配置BIG-IP系统双机(Failover)之前请确认两台BIG-IP系统两者的软件版本必须一致(如BIG-IPVersion
4.5PTF-07Build18),在CLI使用“bversion”查看或者在Web页面的导航面板中选择“System”中的“Properties”标签,查看“KernelVersion”显示版本信息两台BIG-IP的硬件型号不必相同,只要都支持相同的软件版本,并都__了这个版本即可无论主用系统还是备机都要进行初始化配置初始配置详见见本文“Setup配置”部分描述,本处仅给出配置双机的注意事项和初始化后配置步骤
7.1注意事项如果以前已经有其它配置,可以在CLI删除“/config”目录中的“bigip.conf”、“bigip_base.conf”和“user.db”三个文件删除现有配置,“reboot”重启BIG-IP系统清空现有配置,然后使用“setup”命令初始化配置配置步骤如下
1、备份配置信息文件(备份配置文件保存在“/usr/local/ucs”目录中)hostname:~#bconfigs__emybackup.ucs
2、删除各个配置信息文件hostname:~#cd/confighostname://config#rm-fbigip.confhostname://config#rm-fbigip_base.confhostname://config#rm-fuser.dbhostname://config#cd/usr/local/ucshostname:/usr/local/ucs#rm-flast_boot.ucs*
3、重启机器hostname:/usr/local/ucs#reboot在Setup配置界面中几个术语,其中“Redudunt”代表冗余双机;SelfIP代表接口配置的IP;FailoverIP指出现故障时切换到另一台BIG-IP系统接口IP;SharedIP代表BIG-IP双机系统浮动IPBIG-IP双机主机名不能一样
7.2初始化后配置步骤
1、状态检查——在配置完初始化配置并重启后,通过“ifconfig–a”命令确认在主用BIG-IP系统显示ShareIP,而在备用BIG-IP系统仅显示SelfIP,用“bfailovershow”命令可以确认系统的状态或者在Web配置界面中通过“System-RedundantProperties”和“Network-SelfIPAddresses”进行查看,在浮动IP属性中,其状态为“Floating”,在Web界面的“BIP-IPStatusApplet”窗口也显示了BIG-IP系统的状态
2、连接状态镜像配置——BIG-IP系统负载均衡池、虚拟服务器、监控等配置请参见WEB配置部分为了同步主备机之间虚拟服务器连接状态,需要在虚拟服务器属性页中启用“MirrorConnections”选项;忽略其提示,选择“确定”
3、同步——在主用BIG-IP系统的“System-RedundantProperties”页面中,__“SynchronizeConfiguration”按钮,把主用系统上的四层业务配置同步到备机中去页面显示成功后返回切换到备机的web登录页面,可以观察到,主用系统上的四层业务配置已经全部同步到备机中了
4、验证备机的可用性——在主用BIG-IP系统中强制切换为Standby备用运行模式,在备用BIG-IP系统中通过WEB界面或CLI界面查看状态是否切换为Active主用运行模式检查上级__有效性以及测试应用的可用性
7.3上行连接的监控设置BIG-IP系统支持上行连接的状态监控,当上行连接特定时间失效时,BIG-IP将进行切换,这项功能对实现端到端的高可用性非常有用上行连接的状态监控有两种设置方法一种是GatewayFailsafe方法,另外一种是VLAN的ArmFailsafe方式
1、GatewayFailsafe方法在BIG-IP系统Web界面“System-RedundantProperties”页面中选中“GatewayFailsafe”选项“Enabled”复选框,在“Router”文本框中填写路由IP地址,“Ping”填写2秒,“Timeout”填写10秒由于BIG-IP系统无法同步这项配置,需要手工到另外一台BIG-IP上进行配置
2、VLAN的ArmFailsafe方式在BIG-IP系统Web界面“Network-VLANs”页面中中__“external”进入“VLANexternal”页面,选中“ArmFailsafe”复选框,在“Timeout”中填写30由于BIG-IP系统无法同步这项配置,需要手工到另外一台BIG-IP上进行配置8附录A常见问题说明
8.1BIG-IP单机或两台双机系统处于Standby状态,___?单系统处于Standby状态,通常是BIG-IP系统Licnese没有生效,请执行bigstartrestart命令查看sod进程是否正常启动f5test-1:~#bigstartrestartbigstart:restartinetdbigstart:restartnamedbigstart:restartsodbigstart:sodkilled15secondsexpired输出省略f5test-1:~#bfailoverThefailoverstateisSTANDBY.解决办法激活Li__nse激活Li__nse后bigstartrestart命令结果如下f5test-1:~#bigstartrestartbigstart:restartinetdbigstart:restartnamedbigstart:restartsodJan1614:52:29f5test-1kernel:BIG-IPauthorizationsuc__ssful.Jan1614:52:29f5test-1kernel:SSLTPSLevel:100输出省略f5test-1:~#bfailovershowThefailoverstateisACTIVE.
8.2BIG-IP系统root__忘记了,如何恢复?
1、如果忘记了ROOT__,可以重启BIG-IP系统f5-1:~#reboot
1.2found.
3、在第一次出现“rootdevi__”后敲回车,在第二次出现“rootdevi__”时输入“wd0a”在出现“#”提示符之后输入命令“mount-a”然后再输入命令“passwd”然后输入你的新口令再输入一次你的新口令然后输入“reboot”重新启动BIG-IP,完成__恢复
8.3默认的用户名和口令不安全,如何添加新用户或修改现有用户?“root”用户可以通过CLI“passwd”命令或在Config工具中选择“PSetrootpassword”进行修改可以通过Web配置界面“SystemAdmin--UserAdministration”页面进行更改“admin”用户__或添加新用户
8.4BIG-IP系统如何进行配置备份和恢复?在CLI使用“bconfigs__econfig-file.ucs”保存配置,使用“configinstallconfig-file.ucs”恢复配置在Web配置界面中“SystemAdmin--Configuration__nagement”中,在“S__eCurrentConfiguration”保存当前配置,在“RestoreaConfiguration”恢复配置如果不指定路径,默认保存在目录“/usr/local/ucs”中
8.5SSH访问具有__加密传输的优点,请问从哪里获取SSH客户端?常用的SSH客户端有PuTTY——本免费工具为绿色软件,无需__该软件可以通过BIG-IP系统Web界面https://big-ip/doc/download_ssh.htmlhttps://big-ip/doc/download_ssh.html下载TTSSH——http://___.zip.com.au/~roca/ttssh.htmlhttp://___.zip.com.au/~roca/ttssh.htmlTTSSH是公司标准软件TeraTerm的SSH扩展免费软件SecureCRT——http://___.vandyke.com/http://___.vandyke.com/本软件功能强大,评估版为免费软件本例仅给出PuTTY的使用说明运行PuTTY,在“PuTTYConfiguration”窗口中输入主机名,并选定协议为“SSH”,__“Open”即可通过SSH登录到BIG-IP系统此外,我们还可以通过Web配置界面运行“MindtermSSH”J__a客户端运行SSH(需要__J__a虚拟机)
8.6网络设备通常有收集系统信息的宏命令,F5有没有相应命令?与华为路由器“displaybase-infor__tion”、华为交换机“displaydiagnostic-infor__tion”、思科“showtech-support”和NetScreen防火墙“gettech-support”命令类似,BIG-IP系统也有对应信息收集工具叫F5QkviewDiagnosticTool在CLI界面中执行“qkview”,Qkview工具执行完成后将输出信息保存在文件“/var/tmp/host-name-tech.out”中在进行故障诊断和寻求高级技术支持,别忘了执行本命令
8.7如何使用TCPDUMP进行Troubleshooting?TCPDUMP是Unix系统常用的报文分析工具,TCPDUMP经常用于故障定位,如会话保持失效、SNAT通信问题等本文讲述TCPDUMP命令的基本用法,更详细的使用说明请参见“__ntcpdump”命令语法tcpdump[-adeflnNOpqRStvxX][-ccount][-Ffile][-iinte_____][-mmodule][-rfile][-ssnaplen][-Ttype][-wfile][-Ealgo:secret][expression]其中-i报文捕获监听的接口,如果不指定,默认为系统最小编号的接口(不包括loop-back接口)-n不将IP地址或端口号转化为域名或协议名称-r从文件中读取(该文件由-w选项创建)-s确定捕获报文大小-w直接将捕获报文写入文件,而不是对其进行解析并通过屏幕显示(与-r选项对应)-x每个报文以十六进制方式显示-X每个报文同时以文本和十六进制显示expression匹配表达式的分组将进行解析如果不指定表达式,系统对所有分组进行捕获分析复杂表达式可以使用“and”与、“or”或以及“not”非操作进行组合表达式有三种type三种种类host、net和port比如host
10.
1.
1.1如果不指定类型,默认为hostdir有src、dst、srcordst和srcanddst四种方向默认为srcordst,即双向proto常见协议有ip、arp、tcp、udp、icmp等如果不指定协议类型,默认为所有协议举例1对external接口主机
139.
212.
96.2并且端口为1433的流量进行监控端口不指定tcp和udp,默认为同时对tcp和udp进行报文捕获本命令不解析IP地址/端口号为主机名/服务名称,同时显示报文十二进制和文本信息,报文最大为1500字节f5-1:~#tcpdump-iexternal-n-X-s1500port1433andhost
139.
212.
96.2tcpdump:listeningonexternal21:48:
41.
295546139.
212.
96.
2.
120110.
75.
9.
44.1433:.302192826:3021928271ac举例2对internal接口主机
172.
31.
230.53和
172.
31.
230.51之间端口8080的流量进行分组捕获本命令不解析IP地址/端口号为主机名/服务名称,报文最大为1600字节,捕获信息以“/var/tmp/intdump”文件保存tcpdump-s1600-niinternal-w/var/tmp/intdump host
172.
31.
230.53andhost
172.
31.
230.51andport8080如果查看该捕获文件,请用tcpdump–r/var/tmp/intdump命令
8.8如何实时监视BIG-IP的连接状态?请使用“watchbconn”命令,退出请按“Ctrl+C”,显示示例如下BIG-IP24002400D44PlatformMRAII1610/1002FiberGB1x
1.26GHzPIII512MBMemory512Flash1SSLChipupto2000TPSPMCslotforFIPSSSLBIG-IP10001000D39Platform810/1001Gb1x1GHz512MBMemory512Flash1SSLChipupto2000TPS0TPS@factoryBIG-IP50005100D51Platform2Gb/s2x
1.26GhzPIII2410/1004FiberGB1GBMemory512Flash1SSLChips*upto4000TPSPMCslotforFIPS5110Everythingthe5100hasex__pt4CopperGBrepla__FiberGBBIG-IPLICENSEPROBLEMThereisnoactiveli__nseonthissystem.Toactivateyourli__nserunthesetupcom__ndagainafterthisconfigurationandchoosetheLi__nseActivationmenuitemorexitfromthisprogramnowandruntheli__nsecom__nd.ExitnowY/N:nCONFIGURATIONSetupUtilityWelcometoBIG-IP.BeforeusingyourBIG-IPyouwillh__etoconfigure__nyservi__sandvaluesincluding:therootpasswordBIG-IPhostnameinte_____cardssharedinte_____sifanyandremoteadministrationtools.Thisutilitywilltakeyouthroughthepro__ssstep-by-step.[Pressctrl-Etoexitandconfigure__nually][pressanyotherkeytocontinue]SETKEYBOARDTYPEChooseyourkeyboardtypefromthelistbelow.BelgianBulgarianMIKFrenchGer__nJapanese-106keyNorwegianSpanishSwedishUS+CyrillicUS-Standard101keyUnitedKingdomSETROOTPASSWORDNewRootPassword:YouneedtosettherootpasswordonyourBIG-IP.Ifyouh__epurchasedaredundantBIG-IPsystemtherootpasswordonbothboxesmustbethesame.Yourinputwillnotechoonthispage.SETBIG-IPHOSTNAMEEnterBIG-IPFQDN:f5-
1.colorring.netTheFQDNFullyQualifiedDo__inNameidentifiesthisBIG-IPcontroller.Example:mysystem.mydo__in.com.CONFIGUREBIG-IPINTERFACESIsthisaredundantBIG-IPsystemYesitisaredundantBIG-IPsystemNoitisnotaredundantBIG-IPsystemCONFIGUREBIG-IPINTERFACESEntertheunitidentifyingnumberforthisBIG-IP.ThismustbeauniquenumberforeachBIG-IP.ForexampleifthisisthesecondBIG-IPyouh__econfiguredentera2below.Ifitisthefirstentera1whichisthedefault.UnitNumber:1CONFIGUREBIG-IPINTERFACESEntertheunitidentifyingnumberforthisBIG-IP.ThismustbeauniquenumberforeachBIG-IP.ForexampleifthisisthesecondBIG-IPyouh__econfiguredentera2below.Ifitisthefirstentera1whichisthedefault.UnitNumber:2WhatistheIPaddressofthefailoversystemThiswilltypicallybetheIPofaninternalinte_____ontheredundantcontroller.FailoverIP:
172.
16.
96.93CONFIGUREBIG-IPINTERFACESEntertheunitidentifyingnumberforthisBIG-IP.ThismustbeauniquenumberforeachBIG-IP.ForexampleifthisisthesecondBIG-IPyouh__econfiguredentera2below.Ifitisthefirstentera1whichisthedefault.UnitNumber:2WhatistheIPaddressofthefailoversystemThiswilltypicallybetheIPofaninternalinte_____ontheredundantcontroller.FailoverIP:
172.
16.
96.93WillhardwiredornetworkfailoverbeusedforthesesystemsHardwiredNetworkCONFIGUREINTERFACESUsethearrowkeyston__igate.PressEntertochooseaninte_____andconfigureitsmediasettings.PressCtocontinue.NOTE:ForbestresultschoosetheAutomediasetting.Insomecasesxdevi__sconfiguredforAutomediaareincompatibleandtheproperduplexsettingwillnotbenegotiatedbetweenthesedevi__s.Inthesecasesyou__yneedtosetthemediasettingstothesamespeedandduplexonboththisdevi__andthecorrespondingswitchorhost.
1.1auto
1.2auto
1.3auto
1.4auto
1.5autoscrolllisttoseemoreDEFINEVLANSANDIPADDRESSESUsethearrowkeyston__igate.PressEntertochooseaVLANtoconfigureormodify.PressAtoaddanewVLANname.PressDtodeleteaconfiguration.PressCtocontinue.adminnotconfiguredexternalnotconfiguredinternalnotconfiguredFailoverIP:
172.
16.
96.93Redundantcontrollerisnotac__ssible.Noaddressesdefined.DEFINEVLANSANDIPADDRESSESUsethearrowkeyston__igate.PressEntertochooseaVLANtoconfigureormodify.PressAtoaddanewVLANname.PressDtodeleteaconfiguration.PressCtocontinue.externalnotconfiguredinternalnotconfiguredFailoverIP:
172.
16.
96.93Redundantcontrollerisnotac__ssible.Noaddressesdefined.CONFIGUREVLAN[external]YouwillnowspecifytheattributesandIPaddressesofthisVLAN.PortlockdownenabledforthisvlanPortlockdowndisabledforthisvlanEnablingportlockdownwillblocktraffictoservi__srunningonBIG-IPitself.Howeverindividualportscanbeopenedforadministrativeandmonitoringpurposesusingtheglobalopenportcom__nds.Theappropriateglobalswillbeauto__ticallysetbythisutilitywhenservi__sareconfigured.CONFIGUREVLAN[external]YouwillnowspecifytheattributesandIPaddressesofthisVLAN.PortlockdowndisabledforthisvlanEnterIPAddress:
172.
16.
96.26EnterNet__sk:
255.
255.
255.224EnterBroadcastAddress:
172.
16.
96.31EnterSharedIPAlias:
172.
16.
96.28EnterSharedIPAliasNet__sk:
255.
255.
255.224DEFINEVLANSANDIPADDRESSESUsethearrowkeyston__igate.PressEntertochooseaVLANtoconfigureormodify.PressAtoaddanewVLANname.PressDtodeleteaconfiguration.PressCtocontinue.external
172.
16.
96.26Portlockdown:oninternal
172.
16.
96.92Portlockdown:offFailoverIP:
172.
16.
96.93Redundantcontrollerisac__ssible.ASSIGNINTERFACESTOVLANSUsethearrowkeyston__igate.PressEntertochooseaVLANandmodifythelistofinte_____s.YoumustconfigureatleastoneVLAN.PressCtocontinue.external
1.1internal
1.
31.4SELECTHOSTIPADDRESSSelecttheIPaddressthatwillbeassociatedwiththehostnamein/etc/hosts.PressEntertoselectanaddress.Usethearrowkeyston__igate.EnterCtocontinue.Hostname:f5-
2.colorring.netexternal
172.
16.
96.26Xweb
172.
16.
96.92NETWORKINGCONFIGUREDWrote/etc/hostsWrite/config/bigip_base.confUpdate/config/bigip.confWritebigdbfieldsUpdate/etc/s__pd.confShutdownallservi__s...Startupallservi__s...bigstart:startupinetdbigstart:startupnamedbigstart:startupsodbigstart:startupsshdbigstart:startupbigstpdbigstart:startupbig3dbigstart:startupbigdbigstart:startupsfdbigstart:startupslapdmoreCONFIGUREDEFAULTGATEWAYThedefaultgatewayroutedetermineswheretheBIG-IPshouldsendnetworktrafficforwhichthereisnomorespecificroute.TosetupasingledefaultroutetypeonedefaultgatewayIPaddress.IfyoutypemorethanoneaddresstheBIG-IPcreatesadefaultgatewaypool.Thefirstaddressinthelistisenteredasatraditionaldefaultroute.EachIPaddressinthelistmustbeonthesameIPnetworkastheBIG-IP.NOTE:Onlyadefaultroutenodefaultgatewaypoolwillbesetuponunli__nsedsystems.Enterdefaultrouteaddressesseparatedbyaspa__.Ifyoudonotwantadefaultroutele__ethisoptionblank.IPs:
172.
16.
96.30CONFIGUREWEBUTILITYINTERFACESYouwillnowconfiguretheBIG-IPwebserverforusewiththeConfigurationUtility.Thewebserver__ylistenonanyoralloftheVLANSbelow.ForeachVLANyouwillbeaskedforthenamebywhichtheserverwillbeknownonthenetworkassociatedwiththatVLAN.Itisvalidtoassignthesamenametomorethanoneentry.Usethearrowkeyston__igate.PressEntertochooseanentrytoconfiguremodifyorrepla__keys.PressCtocontinuetonextstage.externalf5-
1.colorring.netinternalf5-
1.colorring.netCONFIGUREWEBSERVERACCESSPassword:TheadminuseraccountisprovidedasageneralpurposeBIG-IPaccountallowingwebserverac__ssremoteloginsshandlocallogin.IfthisisaredundantBIG-IPsystemandtheadminaccountisusedastheconfigsyncuserthepasswordMUSTbethesameonthetwosystems.SETADMINIPADDRESSFORHTTPDAdministrativeIPAddressforhttpd:*.*.*.*TheAdministrativeIPAddressistheIPaddressfromwhichallremoteadministrationconfigurationandmonitoringofyourBIG-IPwillbeconductedusinghttpd.You__yentera*tospecifyarangeofIPaddresses-forinstan__
192.
168.
2.*wouldallowallhostsonthe
192.
168.2network.ENTERWEBSERVERCERTIFICATIONCountry:CNState/Provin__:GuangdongCity:ShenzhenCompany:HuaweiCompanyDivision:Servi__sandSoftwareEntertheinfor__tiontogenerateaself-signedSSL__rtificate.ThiswillenableSSLonyourwebserverandshouldbesufficientforinternaluse.Youwillbeaskedforyourcountrystatecitycompanyandcompanydivision.Theentereddataisnotvalidatedbutkeepinmindthatitwillbedisplayedwiththe__rtificate.Itisvalidtole__etheDivisionfieldblank.WRITINGWEBSERVERCONFIGURATIONFILESGeneratingkeyforf5-
2.fzaip.netAddedAdministrativeHostAddressAddedSelfAddressAddedFailoverAddressBuiltWebserverConfigurationFile.LoggingDirectoryAlreadyExists.SecureLoggingDirectoryAlreadyExists.bigstart:restarthttpdCONFIGURESSHSSHac__ssconfigurationutilitySSHprovidesremoteac__ssandfiletransfercapabilitiestotheBIG-IPsystemfromaremoteadministrativeworkstation.Ifyouplantousecom__nd-lineutilitiessuchasbigpipeandbigtopforconfigurationandmonitoringyouneedtosetupanadministrativeworkstationwiththeSSHclientAllowSSHac__sstoBIG-IPunitConfigureSSHac__ssDonotallowSSHac__ssSETADMINIPADDRESSFORSSHAdministrativeIPAddressforSSH:*.*.*.*TheAdministrativeIPAddressistheIPaddressfromwhichallremoteadministrationconfigurationandmonitoringofyourBIG-IPwillbeconductedusingSSH.You__yentera*tospecifyarangeofIPaddresses-forinstan__
192.
168.
2.*wouldallowallhostsonthe
192.
168.2network.ENABLESUPPORTACCESSIfyouwouldlikeF5Networkstoh__eac__sstoyourBIG-IPforsupportyoushouldsupplyandretainasupportpasswordhere.Ifyoudonotwantsupportle__ethisfieldempty.SupportPassword[CRfornone]:SETTIMEZONEChooseyourtimezonefromthelistbelow.__nytimezonesh__emultiplelistings.Choosetheonethatmostclearlyrepresentsyourzone.Asia/GazaAsia/HarbinAsia/Hong_KongAsia/IrkutskAsia/IstanbulAsia/JakartaAsia/JayapuraAsia/JerusalemAsia/KabulAsia/KamchatkaAsia/KarachiAsia/KashgarAsia/Kat__nduAsia/KrasnoyarskDEFINETIMESERVERSNTPsupportconfigurationutilityTheNetworkTimeProtocolNTPutilityprovidestimesynchronizationtopublicStratum2timeserversacrosstheInternet.Thisutilityconfiguresxntponthis__chine.IfyouarebehindafirewallbesurethatUDPport123isopeninbothdirectionsthroughthefirewall.ConfigureNTPsupportDisableNTPsupportDonotchangeNTPsettingsCONFIGUREDNSPROXYYoucanconfiguretheBIG-IPasaDNSproxy.ThisisusefulforprovidingDNSresolutionforserversorotherequipmentbehindtheBIG-IPthatmightwanttolookupado__innameorIPaddress.DoyouwanttoconfiguretheDNSproxyYesconfigureDNSproxyNodonotconfigureBIG-IPUSERAUTHENTICATIONUserauthenticationistypicallyperformedonthehostsystembutcanoptionallybeperformedonremotesystemsusingLDAPorRADIUS.Ifyouh__eremoteauthenticationcapabilityinpla__youcanconfigureBIG-IPtousethesesystems.Doyouwishtoconfigureremoteauthentication[Y/N]:NBASICCONFIGURATIONCOMPLETECompleteyourBIG-IPconfigurationusingthebigpipecom__ndorusingtheConfigurationUtilitytoaddnodesservi__sandvirtualserversSeetheon-linedocumentationformoredetails.TheConfigurationUtilitycanbeac__ssedat:https://f5-
2.fzaip.net/index.htmlF5NetworksInc.TechnicalSupportinfor__tionisinfile:/CONTACTS[pressanykeytoexit]文档链接配置工具(ConfigurationUtility)BIG-IP系统需要J__e虚拟机,请到http://j__a.sun.com/下载INITIALSETUPMENUChoosethedesiredconfigurationfunctionfromthelistbelow.AConfigureallservi__sRStepsforredundantsystemsREQUIREDESetdefaultgatewaysVConfigureVLANsnetworkingHSethostnameWConfigurewebserversPSetrootpasswordOPTIONALCRemoteauthenticationOConfigureremoteac__ssDConfigureDNSSConfigureSSHFConfigureFTPTConfigureTelnetdIInitializeiControlportalUConfigureRSHKSetkeyboardtypeYSetsupportac__ssLLi__nseActivationZSettimezoneMDefinetimeserversQQuitEnterChoi__:CONFIGUREDEFAULTGATEWAYThedefaultgatewayroutedetermineswheretheBIG-IPshouldsendnetworktrafficforwhichthereisnomorespecificroute.TosetupasingledefaultroutetypeonedefaultgatewayIPaddress.IfyoutypemorethanoneaddresstheBIG-IPcreatesadefaultgatewaypool.Thefirstaddressinthelistisenteredasatraditionaldefaultroute.EachIPaddressinthelistmustbeonthesameIPnetworkastheBIG-IP.NOTE:Onlyadefaultroutenodefaultgatewaypoolwillbesetuponunli__nsedsystems.Enterdefaultrouteaddressesseparatedbyaspa__.Ifyoudonotwantadefaultroutele__ethisoptionblank.IPs:
10.
77.
88.254Every2secondsbconnTueFeb1716:13:272004fromvipnodeproto
10.
77.
88.193:0-
10.
77.
88.213:0-
192.
168.
129.12:0icmp
10.
76.
160.135:3574-
10.
77.
88.213:0-
192.
168.
129.12:0tcp
10.
76.
160.135:3___-
10.
77.
88.212:80-
192.
168.
129.12:80tcp
10.
76.
160.135:35__-
10.
77.
88.212:80-
192.
168.
129.12:80tcp第59页共60页^1VIP即虚拟服务器(VirtualServer)IP地址^2设备内存信息^3设备版本号^4设备CPU、内存、网络接口等硬件信息^5默认管理IP地址为了允许远程连接使用Setup配置工具,BIG-IP定义两个预定义IP地址,优选默认IP地址为
192.
168.
1.245如果优选地址存在地址冲突,BIG-IP将使用备选IP地址
192.
168.
245.245^6第一次使用F5设备,License还没有被激活的提示消息BIG-IP必须激活License后才能正常使用。